Firmware-Zuverlässigkeit für Übertemperaturerkennung

Ich spreche von einer Industrieanlage, die Gas erzeugt. Es wird einem Zertifizierungstest ( CE-Kennzeichnung ) nach IEC 61010 in einem Drittlabor unterzogen.

Im Gerät gibt es einen Übertemperaturerkennungsmechanismus, der darauf abzielt, das Gerät zu stoppen. So funktioniert es:

  • Temperatursensor (LM335)
  • Ein uC liest die Temperatur alle Sekunden
  • Nach dem Lesen vergleicht es seinen Wert mit einem fest codierten Schwellenwert, und wenn die Temperatur über dem Schwellenwert liegt, löst es die Alarme aus und startet das Stoppverfahren.
  • In ein paar Sekunden geht es in den Stand-by-Modus.

Das Labor, das die Zertifizierungstests durchführt, teilt uns mit, dass die Übertemperaturerkennung per Software nicht zuverlässig ist. Und weil es nicht zuverlässig ist, entspricht es nicht der CE-Kennzeichnung.

Sie fügen außerdem hinzu: „Die Prüflabore halten eine Software für alles andere als eine zuverlässige Komponente. Liste ohne Anspruch auf Vollständigkeit: Endlosschleifen, Datenkorruption, EMV-Störungen …“

Für mich klingt das komplett extrapoliert.

Stimmt die Prüfplakette? Wird Software/Firmware als nicht zuverlässig angesehen? Wenn nein, wie soll ich dem Labor beweisen, dass wir unsere Firmware-Komponente als zuverlässig konzipiert haben?

Da es sich bei CE um eine Reihe von Dokumenten und nicht um eine Organisation handelt, können verschiedene Labors unterschiedliche Interpretationen davon haben. Wir hatten Probleme mit CE-Laboren von Drittanbietern, die Dinge taten, die keinen Sinn machten. Könnten Sie vielleicht eine zweite Meinung von einem anderen Labor einholen? Außerdem gibt es viele CE-Richtlinien. Können Sie genauer sagen, unter welcher Sie zertifizieren?

Antworten (1)

Ja, sie sind 100% richtig.

Sicherheitskritische Software/Firmware und Systemdesign erfordern besondere Überlegungen. Möglicherweise lohnt es sich, das Problem zu umgehen, indem Sie eine zugelassene mechanische Übertemperaturbegrenzung als Sicherheit verwenden, und die Softwarebegrenzung wird zu einer Art Spielzeug. Wenn sie funktioniert, verhindert sie, dass die thermische Sicherung oder was auch immer ausfällt, wenn nicht niemand stirbt . Das wäre wahrscheinlich meine Empfehlung, wenn ich ein solches System entwerfen würde. Ein analoger Sensor wie der LM335 könnte parallel zu einem Komparator sowie Ihren digitalen Sachen gespeist werden, was viel einfacher zu zertifizieren wäre, aber wie gesagt, es könnte einfacher sein, einfach eine zugelassene thermische Abschaltung in den Stromkreis einzubauen und sei damit fertig.

Geben Sie hier die Bildbeschreibung ein

Es ist sinnvoll, Software in hochvolumigen Produkten wie Garagentorsteuerungen, Gasbrennerspül- und Zündsteuersystemen usw. zu zertifizieren, bei denen Sicherheitsprobleme nicht einfach umgangen werden können, oder in hochpreisigen Kleinseriensystemen wie Industrie- oder Transportkontrollen, aber in einem relativ kostengünstigen System mit geringem Volumen ist es wahrscheinlich sinnvoll, die NRE-Kosten zu minimieren.

UL1998 ist eine Norm, mit der ich etwas vertraut bin. Vielleicht finden Sie diese UL-Seite nützlich – sie enthält Verweise auf einige der IEC-Normen, von denen die eine oder andere wahrscheinlich in Ihrer speziellen Situation anwendbar ist.

Bei der Ausführung von Firmware können viele Dinge schief gehen – und es gibt Möglichkeiten, die Wahrscheinlichkeit einer Katastrophe zu verringern – ungenutzten Speicher mit Sprüngen zum Kaltstart zu programmieren, alle möglichen Dinge zu überprüfen, bevor blindlings ein Watchdog Timer (WDT) gestartet wird (die meisten Leute wissen, wie man ein WDT verwendet, aber es wird normalerweise nicht optimal eingesetzt), aktualisieren Sie regelmäßig interne Speicherorte und externe Ports, anstatt davon auszugehen, dass sie immer ungestört bleiben. Das sind nur ein paar Dinge.. es gibt noch mehr.

Fragen Sie, ob Sie den Temperatursensor deaktivieren können, und testen Sie dann .... wenn er sicher ausfällt, ist dies möglicherweise für CE akzeptabel
Sie sagten, dass ein analoger Sensor parallel zu einem Komparator gespeist werden könnte, was viel einfacher zu zertifizieren wäre. Denken Sie, dass das Einstellen des Schwellenwerts mit einem Widerstand in Ordnung ist? Wie electronicproducts.com/Hysteresis_Comparator_Calculator.aspx
@RawBean Einfacher, aber es kann immer noch Komplikationen geben. Eventuell ist eine Redundanz in der analogen Abschaltschaltung erforderlich. Ja, so etwas wie diesen Link hatte ich im Sinn.
Firmware-Zuverlässigkeit für Übertemperaturerkennung
AntwortenHierDatenschutz-Bestimmungen1y, 0v